세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
홈페이지 운영자가 사이버 침해사고에 대비하는 간단 꿀팁
  |  입력 : 2017-03-21 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중소기업·개인이 무료로 이용 가능한 보안 프로그램과 서비스

[보안뉴스 박미영 기자] 지금으로부터 4년 전 3월 20일, 국내 방송사와 금융회사 전산망이 사이버테러로 마비됐던 3.20 사건을 계기로 사이버 안전의 중요성에 대한 관심이 높아졌다.

해마다 사이버 안전을 되새기게 되는 3월 20일을 맞아 한국인터넷진흥원이 사이버 보안에 대한 홈페이지 운영자들의 고민을 해결해 줄 사이버 침해사고 대비 꿀팁을 공개했다.

한국인터넷진흥원 보호나라&KrCERT(www.krcert.or.kr)에서 중소기업을 대상으로 지원하는 다양한 무료 서비스와 무료 프로그램을 통해 사이버 침해 사고에 대비해 보자.

△ 웹 취약점 점검 및 기술 지원
한국인터넷진흥원은 영세한 중소기업을 대상으로 홈페이지 및 웹사이트 보호를 위해 SQL Injection, XSS(Cross Site Scripting) 등의 취약점을 원격으로 점검해 준다. 점검 결과는 보고서로 제공하며 발견된 취약점을 보완해 웹사이트의 보안을 강화할 수 있다. 단 점검은 오탐지·미탐지의 가능성이 있으며, 점검 결과는 어떠한 증빙 자료로도 사용할 수 없다.

이용 대상은 ‘중소기업기본법 제2조’에 해당하는 중소기업이다. 신청 방법은 보호나라&KrCERT에서 웹 취약점 점검 신청서(PDF)를 다운로드해 작성한 후 이메일(toolboxadmin@krcert.or.kr)에 첨부해 신청하면 된다. 신청 후 해당 서버가 점검에 적합한지 적격 심사를 통해 서비스 제공 여부를 결정한다. 웹 취약점 점검에는 서비스 신청 후 1~2주 정도 소요되며 결과 보고서는 이메일로 전송해 준다.

△ 휘슬(WHISTL)·캐슬(CASTLE)
한국인터넷진흥원 보호나라&KrCERT에서 제공하는 휘슬과 캐슬 프로그램을 이용하면 공격자에 의해 생성된 웹셸을 손쉽게 탐지하고 제거하고 웹 방화벽 등 무료 프로그램을 활용해 홈페이지 보안을 강화할 수 있다.

휘슬(WHISTL)이란?
웹 서버 해킹에 사용되는 웹셸 파일 및 악성코드 은닉 사이트를 서버 관리자들이 쉽게 탐지할 수 있도록 하는 프로그램이다. 단 휘슬은 홈페이지의 보안 강화용이 아니므로 해킹을 예방하기 위해서는 전용 보안 장비를 운영하고 취약점 점검을 수행해야 한다.

이용 대상은 ‘중소기업기본법 제2조’에 해당하는 중소기업이다. 신청 방법은 신청서를 보호나라&KrCERT에서 다운로드해 작성한 후 이메일(toolboxadmin@krcert.or.kr)에 첨부해 신청하면 된다. 프로그램은 신청서에 작성한 전자우편으로 보내주며, 신청한 날짜로부터 2~3일 정도 소요될 수 있다.

캐슬(CASTLE)이란?
웹 취약점을 악용한 공격을 사전 차단할 수 있는 웹 방화벽 프로그램이다. 주요 취약점을 공격하는 침입 시도 및 공격코드들을 차단할 수 있으며 관리 기능으로 손쉽게 정책이나 설정을 수정할 수 있다. 이전 버전(PHP 1.0.1, JSP 1.0.1, ASP 1.0.0) 사용자는 새롭게 다운로드해 업데이트해야 한다.

이용 대상은 ‘중소기업기본법 제2조’에 해당하는 중소기업이다. 신청 방법은 보호나라&KrCERT에서 CASTL(ASP, PHP, JSP) 및 사용설명서 다운로드 버튼을 클릭해 정보 입력 후 이메일(castle@krcert.or.kr)로 신청하면 된다. 신청 시 입력한 메일 주소로 캐슬 프로그램, 사용자 메뉴얼, 사용권 계약서를 보내준다.

△ 사이버대피소
한국인터넷진흥원에서 제공하는 사이버대피소는 홈페이지를 위한 임시 대피소다. 웹사이트 또는 DNS가 외부로부터 디도스(DDos) 공격을 당할 때 피해 웹사이트(또는 DNS)로 향하는 공격 트래픽을 대피소로 우회해 분석·차단함으로써 정상적으로 운영될 수 있도록 하는 중소기업 무료 지원 서비스다.

서비스 대상은 ‘중소기업기본법 제2조’ 및 ‘중소기업기본법 시행령 제3조’에 해당하는 중소기업이다. 서비스 이용 기간은 방어 서비스 적용 후 14일을 기본으로 하며, 재공격이 예상되는 경우 지속적으로 14일 연장할 수 있다. 서비스 신청은 보호나라&KrCERT에서 사전등록신청서 작성 후 사업자등록증과 함께 이메일(antiddos@krcert.or.kr)로 제출하면 된다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)